2023年数据出境合规年鉴

©2023云安全联盟大中华区版权所有©2023云安全联盟大中华区版权所有@2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。©2023云安全联盟大中华区版权所有©2023云安全联盟大中华区版权所©2023云安全联盟大中华区版权所致谢北京启明星辰信息安全技术有限公司北京神州绿盟科技有限公司关于研究工作组的更多介绍，请在CSA序言毫无疑问，2023年可称为中国数据跨境监管的元年，这一年初出境评估的“蓬勃”和将近年末的数据出境法律调整“震荡”态势，说明着包括中国在内，数据跨境监管在各种国际和国内因素共同作用下的抉择艰难。尽管如此，作为数据出境的主体，企业需要一种政策和法律的稳定性和预期性，《2023年数据出境合规年鉴》（以下简称“报告”）正是从企业合规视角出发的一次对中国数据跨境法律的整体梳理。报告系统的整理了目前中国数据出境监管的法律制度要求，这一制度呈现为基础法律、规范性文件、标准、指南的立体结构，并从原则到已经具有一定颗粒度的指引，说明监管者规范数据出境活动的良苦用心。同时，这一体系化结构也意味着可解释和可例外的场景虽然很多，包括自贸区等先行先试模式在一定区域范围、数据类型、甚至字段级别的“突破”，但整体上不太可能存在“颠覆性”的规则重塑，因此企业所寻求的稳定性和对出境活动后果的可预期性事实上也是清晰和明确的，大可不必为所谓监管的“不确定性”焦虑。进一步的，报告着力于从已经公开的评估、备案信息中，分析和识别一般规律，包括涉及的行业特征、所在区域的省级网信部门的指导能力、企业对可适用出境路径的定性判断等等，这些抽象的、一般的规律性认识，对未来无论是数据出境的细节考虑，还是常态化的企业数据合规建设应都有启发。当然最为重要的是，需要将CSA大中华区在数据技术和管理中的最佳实践和较优做法注入到数据出境场景，成为数据跨境企业赋能的一部分，在更广阔的全球范围内分享中国数据跨境的监管规则变迁、落地个案的优劣得失，并将全球主要国家的政策法律进行符合中国跨境监管要求的解读和适配。在秉持中立性的原则下加强和推动不同国家跨境监管制度的交流和协调，为繁荣数字经济和贸易活动贡献力量，这也是启动报告工作的初衷和意愿所在。从这一意义上，这份发起于数据跨境监管元年的报告将只是一个起点、一个尝试。在全球视野下报告所涉及的领域和方向仍将有诸多方向的持续性进展，值得每位报告参与者和关注报告的每位读者保持关注，甚至倾注更多力量。李雨航YaleLiCSA大中华区主席兼研究院院长©2023云安全联盟大中华区版权所 4 5 8 8 9 9 10 11 112.2数据出境安全评估申报指南（第一版摘引） 12 17 182.5个人信息出境标准合同备案指南（第一版摘引） 20 26 26 344、合规要求与示范 36 36 36 37 37 38 39 40 41 41 42 43©2023云安全联盟大中华区版权所 44 45 46 47 48 48 49 50 51 52 52 52 53 53 53©2023云安全联盟大中华区版权所1、法律规定施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定1；其他数据处理者在中华人民华人民共和国境外提供个人信息的，应当具备下列条件之一一）依照本法第四十条的规定通过国家网信部门组织的安全评估二）按照国家网信部门的规定经专业机构进行个人信息保护认证三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务四）法律、行政法规或者国1《网络安全法》第三十七条规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有活动，保护个人信息权益，维护国家安全和社安全评估做出规定，设定了对个人信息适用（最严格的）评估监管时的“上限”2022年6月，全国信息安全标准化技术委员会发布《网络安全标准实践指2《个人信息保护法》第三条第二款规定：在中华人民共和国境外处理中华人民共和国境内自然人个人信评估境内自然人的行为三）法律、行政法规规定的其他情形。V2.0规范对此略有调整，但整体上适用2023年6月《个人信息出境标准合同办法》正式发布，规定了个人信息出2023年9月，为对上下限之外的情形做出进一步澄清，国家网信办发布了或者重要数据2）不是在境内收集产生的个人信息向境外提供3）为订立、履行个人作为一方当事人的合同所必需，如跨境购物3、跨境汇款、机票酒店预 （5）紧急情况下为保护自然人的生命健康和财产安全等6）预计一年内向境3例如目前对软硬件在线激活方式中，头部企业已经大量调整了用户条款和隐私政策：用户点击同意，即完成数据出境，而无需再履行标准合同、认证或评估程序，并不再履示且均以有相对完备的规范性法律文件进行界定和约束。实务中，为了指导2、指南规则数据处理者向境外提供数数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报（一）数据处理者向境外（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者个人信息处理者开展个个人信息处理者开展个人信息跨境处理活动，（一）跨国公司或者同一经济、事业实体下属（二）《个人信息保护法》第三条第二款规定的境外个人信息处理者（即在中国境外处理中华人民共和国境内自然人个人信息以分析、评估境内自然人的行为的（二）处理个人信息不满100（二）处理个人信息不满100万人个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应法律、行政法规或者国家网信部门（表一）（表一）2.2数据出境安全评估申报指南（第一版摘引）人信息或者1万人敏感个人信息的数据处理者向境（四）国家网信部门规定的其他需要申报数据出境个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同2022年9月，国家网信办（包括主要的省级网信办）陆续出台了配合《数据出境安全评估办法》的指南文件二、数据出境安全评估申报指南（第一估路径的适用范围、申报方式、流程、申报文件体系、解答咨询联系方式等进行了完整规范，成为企业可参照的模板、手册式指导。大部分触发评估条件的企业均有参考或按照指南进行申报准备。一、适用范围数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信办向国家网信办申报数据出境安全评估一）数据处理者向境外提供重要数据二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息四）国家网信办规定的其他需要申报数据出境安全评估的情形。以下情形属于数据出境行为：（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出三）国家网信办规定的其他数据出境行为。二、申报方式及流程数据处理者申报数据出境安全评估，应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。省级网信办收到申报材料后，在5个工作日内完成申报材料的完备性查验。通过完备性查验的，省级网信办将申报材料上报国家网信办；未通过完备性查验的，数据处理者将收到申报退回通知。国家网信办自收到省级网信办上报申报材料之日起7个工作日内，确定是否受理并书面通知数据处理者。数据处理者如被告知补充或者更正申报材料，应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的，安全评估将会终止。情况复杂的，数据处理者将被告知评估预计延长的时间。评估完成后，数据处理者将收到评估结果通知书。对评估结果无异议的，数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求，规范相关数据出境活动；对评估结果有异议的，数据处理者可以在收到评估结果通知书15个工作日内向国家网信办申请复评，复评结果为最终结论。三、申报材料数据处理者申报数据出境安全评估，应当提交如下材料：1、统一社会信用代码证件影印件2、法定代表人身份证件影印件3、经办人身份证件影印件4、经办人授权委托书5、数据出境安全评估申报书6、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件7、数据出境风险自评估报告8、其他相关证明材料数据处者对所提交材料的真实性负责，提交虚假材料的，按照评估不通过处理，并依法追究相应法律责任。估报告（模板具有重大参考价值。特别需要关注的是，对数据出境安全评估申报书（申报表）如何填写，指南提供了一份较为详细的填表说明（见下解答了申报中的一些常见困惑，仍无法解惑，或需要进一步寻找样例参考的，可质/类型、有效期等栏目填写。单位注册地应具体到城市，如北京申报书05项中数据出境业务描述怎申报书06项中数据出境的目的怎么申报书07项数据出境的方式怎么填申报书08项数据出境链路怎么填申报书09项拟出境数据情况怎么填关于个人信息的敏感程度，可参照国家标准《信息安全技术个人信息安全规范》。涉及行业/领域填写出境数据涉及的行业领域范申报书13项相关条款在法律文件中申报书14项遵守中国法律、行政法数据处理者简述近2年在业务经营活动中受到行政处罚和有关主当性、必要性（其中对必要性的论证成为难点，对必要性论证不足，可能导致评估结果为不通过，或部分（字段）不通过管理制度、措施的进一步参考，见本报告第五章12信息出境标准3浙江省的个人信息处理者通过订立标准合同的方式向境外提供个人信4明确所在地为重庆市的个人信息处理者通过订立标准合同的方式向境52022年11月的《个人信息保护认证实施规则》实际上包括了个人信息保护认证的一般规则和跨境处理活动的特殊规则两种情况，对第二种情况，主要适用标准在GB/T35273《信息安全技术个人信息安全规范》基础上附加了TC260-PG-20222A《个人信息跨境处理活动安全认证规范》。整体上，规则的重点关注包括（为方便结构理解，保留了原文序号（一）认证模式个人信息保护认证的认证模式为：技术验证+现场审核+获证后监督（二）认证实施程序特别包括了以下程序：4.2技术验证技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告。4.3现场审核认证机构实施现场审核，并向认证委托人出具现场审核报告。4.5获证后监督4.5.1监督的频次认证机构应当在认证有效期内，对获得认证的个人信息处理者进行持续监督，并合理确定监督频次。4.5.2监督的内容认证机构应当采取适当的方式实施获证后监督，确保获得认证的个人信息处理者持续符合认证要求。4.5.3获证后监督结果的评价认证机构对获证后监督结论和其他相关资料信息进行综合评价，评价通过的，可继续保持认证证书；不通过的，认证机构应当根据相应情形做出暂停直至撤销认证证书的处理。（三）认证证书5.1.1认证证书的保持认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，保持认证证书的有效性。5.1.3认证证书的注销、暂停和撤销当获得认证的个人信息处理者不再符合认证要求时，认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。2.5个人信息出境标准合同备案指南（第一版摘引）《个人信息出境标准合同办法》自2023年6月1日起施行。为指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同（“标准合同”国家网信办制定了标准合同备案指南。一、适用范围个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情（一）非关键信息基础设施运营者二）处理个人信息不满100万人的三）自上年1月1日起累计向境外提供个人信息不满10万人的四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。以下情形属于个人信息出境行为：（一）个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外二）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出三）国家网信办规定的其他个人信息出境行为。二、备案方式个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。三、备案流程标准合同备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。（一）材料提交（指南并制备了相关文件模板、范本）个人信息处理者备案标准合同，应当提交如下材料：1、统一社会信用代码证件影印件2、法定代表人身份证件影印件3、经办人身份证件影印件4、经办人授权委托书5、承诺书6、标准合同7、《个人信息保护影响评估报告》（二）材料查验及反馈备案结果省级网信办收到材料后，在15个工作日内完成材料查验，并通知个人信息处理者备案结果。备案结果分为通过、不通过。通过备案的，省级网信办向个人信息处理者发放备案编号；不通过备案的，个人信息处理者将收到备案未成功通知及原因，要求补充完善材料的，个人信息处理者应当补充完善材料并于10个工作日内再次提交。（三）补充或者重新备案在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：1、向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；2、境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；3、可能影响个人信息权益的其他情形。个人信息处理者在标准合同有效期内补充订立标准合同的，应当向所在地省级网信办提交补充材料；重新订立标准合同的，应当重新备案。补充或者重新备案的材料查验时间为15个工作日。个人信息处理者对所提交材料的真实性负责，提交虚假材料的，按照备案不通过处理，并依法追究相应法律责任。一、评估工作简述评估工作开展情况，包括起止时间、组织情况、实施过程、实施方式等内容。如有第三方机构参与评估，需说明第三方机构的基本情况及参与评估的情况，并在相关内容页上加盖第三方机构公章。二、出境活动整体情况详细说明个人信息处理者基本情况、个人信息出境涉及的业务和信息系统、出境个人信息情况、个人信息处理者个人信息保护能力情况、境外接收方情况、是否向第三方提供个人信息以及如何确保标准合同条款落实等。包括不限于：（一）个人信息处理者基本情况1.组织或者个人基本信息；2.股权结构和实际控制人信息；3.组织架构信息；4.个人信息保护机构信息；5.整体业务与个人信息情况；6.境内外投资情况。（二）个人信息出境涉及业务和信息系统情况1.个人信息出境涉及业务的基本情况；2.个人信息出境涉及业务的个人信息收集使用情况；3.个人信息出境涉及业务的信息系统情况；4.个人信息出境涉及的数据中心（包含云服务）情况；5.个人信息出境链路相关情况。（三）拟出境个人信息情况1.说明个人信息处理者和境外接收方处理个人信息的目的、范围、方式，及其合法性、正当性、必要性；2.说明出境个人信息的规模、范围、种类、敏感程度，处理敏感个人信息和利用个人信息进行自动化决策情况；3.拟出境个人信息在境内存储的系统平台、数据中心等情况，计划出境后存储的系统平台、数据中心等；4.个人信息出境后向境外其他接收方提供的情况。（四）个人信息处理者个人信息保护能力情况1.个人信息安全管理能力，包括管理组织体系和制度建设情况，全流程管理、应急处置、个人信息权益保护等制度及落实情况；2.个人信息安全技术能力，包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程所采取的安全技术措施等；3.个人信息保护措施有效性证明，例如开展的个人信息保护认证、个人信息保护合规审计、网络安全等级保护测评等情况；4.遵守个人信息保护相关法律法规的情况。（五）境外接收方情况1.境外接收方基本情况；2.境外接收方处理个人信息的用途、方式等；3.境外接收方的个人信息保护能力；4.境外接收方所在国家或地区个人信息保护政策法规情况；5.境外接收方处理个人信息的全流程过程描述。（六）个人信息处理者认为需要说明的其他情况三、拟出境活动的影响评估情况就下列事项逐项说明影响评估情况，重点说明评估发现的问题和风险隐患，以及相应采取的整改措施及整改效果。（一）个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性；（二）出境个人信息的规模、范围、种类、敏感程度，个人信息出境可能对个人信息权益带来的风险；（三）境外接收方承诺承担的义务，以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全；（四）个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响；（六）其他可能影响个人信息出境安全的事项。四、出境活动影响评估结论综合上述影响评估情况和相应整改情况，对个人信息出境活动作出客观的影响评估结论，充分说明得出评估结论的理由和论据。在实务中具体准备《个人信息保护影响评估报告》时，通常还应参考另一重要的标准类文件《GB/T39335-2020信息安全技术个人信息安全影响评估指3、出境现状1办2办3办4办5办6办7办8等300多个数据项办9办办办司办办办月办月办月办月办月办月办月办月办月办月办月办月办办月司办办办11月9日据办从行业分布看，数据出境申报成功企业主要分布在软件和信息技术服务业清单”。随着三大措施和负面清单的实践，上述经济发达及沿海地区与自贸区的1办2办3办月4业办月5办月6办月7办月4、合规要求与示范适用评估的情形目前明确有一）数据处理者向关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提适用标准合同备案的情形明确为一）非关键信指南明确的数据出境行为包括一）数据处理者将在境内运营中收生的数据传输、存储至境外二）数据处理者收集和产生的数据存储在境内，以定性为直接出境（有些主体也称之为主动出境第二类为可访问（或间接出上的控制权2）通过境外集团或总部的决定或授权安排3）通过协议中的权（1）最为典型的是与（境内）的数据处理者存在传统意义上的业务、商业（2）在数字经济业态下，数据和基于数据分析形成的交付，也成为跨境业直接成为了协议规制的标的，这在新近通过（3）另外一种典型情况是存在同处于一个实际控制人的跨国集团企业，集（4）未来需要关注的一种情况和跨国集团企业类似，中国企业“走出去”的表述方式举例如下（当然实务中也存在如何表述无IP或数据中心地址不详等链路供应商：[•]（可适当援引通讯服务提供商信息，或境外提供商及在境链路数量：1司公告等文件中进行披露。《健康保险携带和责任法